Passwortmanager KeePass vs. LastPass vs. Bitwarden

 

Ohne entsprechende Hilfsmittel ist es schwierig komplexe und einzigartige Passw√∂rter auf allen Webseiten zu verwenden, was die Sicherheit der Accounts und somit der eigenen Daten herabsetzt. Die L√∂sung f√ľr all jene, die sich nicht gerade mit Gehirnjogging auseinandersetzen, ist m√∂glicherweise ein Passwort Manager.

dieser Beitrag wurde aktualisiertzuletzt am 27.05.2024

Anpassungen:

  • Bitwarden hinzugef√ľgt¬†
  • Vorteile / Nachteile f√ľr LastPass, KeePass, Bitwarden
  • Browser als Passwortmanager
  • Fazit
Ein Passwort Manager speichert die Logindaten f√ľr alle Webseiten, Apps oder anderen Zug√§ngen und hilft beim automatischen Anmelden auf diese. Herzst√ľck eines Passwortmanagers ist eine Passwortdatenbank, welche meist mit einem Masterpasswort verschl√ľsselt wird. F√ľr den Zugriff auf die Datenbank wird das Passwort und optional ein zweiter Faktor ben√∂tigt. Aber auch eine zus√§tzliche PIN oder eine biometrische Authentifizierung, wie der Fingerabdruck oder eine Gesichtserkennung, k√∂nnen mitunter zum Entsperren der Passwortdatenbank verwendet werden.

Passwörter sollten nicht mehrfach verwendet werden

Eine M√∂glichkeit die Passw√∂rter zu sch√ľtzen und die Angriffsfl√§che zu verringern ist, f√ľr jede Webseite einzigartige Passw√∂rter zu verwenden. Die Kennw√∂rter sollten nach M√∂glichkeit unvorhersehbar sein, Sonderzeichen enthalten und lang sein, damit diese m√∂glichst nicht von irgendwelchen Tools oder Hackern erraten oder ausgetestet werden k√∂nnen. Sollte ein Passwort in falsche H√§nde geraten, k√∂nnte eine m√∂gliche gleiche E-Mail und Passwort Kombination auf mehreren Webseiten missbraucht werden. Als zus√§tzlichen Schutz setzen die meisten Anbieter heute auf einen zweiten Faktor f√ľr die Anmeldung, was die Relevanz des Passwortes ein klein wenig entsch√§rft. Zum zweiten Faktor z√§hlen zum Beispiel eigene Authentifizierungs-Apps (Authenticator), die Telefonnummer, SMS oder die E-Mail-Adresse als zus√§tzliche Best√§tigung f√ľr den Anmeldevorgang.

Passwort Manager in der Praxis

Ein Passwort Manager hilft aber nicht nur beim Merken der Passw√∂rter, sondern bereits beim Erstellen eines neuen Benutzerkontos, indem er ein sicheres Passwort generiert und dieses zusammen mit den Anmeldeinformationen (Benutzernamen) in der Datenbank speichert. Idealerweise kann der Zugriff auf einen Passwortmanager von verschiedenen Ger√§ten erfolgen:¬† vom Computer, Tablet oder Smartphone: Einmal gespeichert, sind die Passw√∂rter von allen Ger√§ten verf√ľgbar.

Es gibt eine Reihe von verschiedenen Passwortmanagern, ich habe die folgenden getestet: LastPass, Bitwarden und KeePass. Eine weitere Spezies von Passwortmanagern sind die heutigen Webbrowser. Als Beispiel besitzen aktuelle Browser meist einen integrierten Passwortmanager.

Integrierter Passwort Manager des Browsers

Webbrowser, wie Microsoft Edge, Google Chrome oder Firefox, beinhalten einen eigenen Passwortmanager. Die Passw√∂rter werden dabei lokal gespeichert und √ľber die Clouddienste der Hersteller synchronisiert. Wer in Kauf nimmt, dass seine Passw√∂rter √ľber den Cloud-Anbieter synchronisiert werden, bekommt f√ľr seine Web-Zugangsdaten durch das Akzeptieren der Passwortsynchronisation schnell und einfach eine fertige L√∂sung.¬†

Google Chrome erm√∂glicht es in Passw√∂rter und Notizen. Au√üerdem bietet beispielsweise Chrome eine Option, um die Daten mit einer Passphrase zu verschl√ľsseln, wodurch Google nicht mehr in der Lage ist diese zu lesen: support.google.com/chrome/answer/165139?visit_id=637947060059121777-1340973762&p=settings_encryption&rd=2

Ein dedizierter Passwortmanager kann, neben den Zugangsdaten zu Webseiten, auch andere Passwörter oder Zugangsdaten verwalten und abseits des Browsers automatisch verwenden, je nach Lösung auch ohne der Abhängigkeit zu einem Cloud-Anbieter.

LastPass

LastPass ist einer der bekanntesten cloudbasierten Passwortmanager, welcher eine gute Integration f√ľr alle m√∂glichen Browser f√ľr Android, iPhone (iPad), Windows und Linux bietet. Die Passwortdaten werden verschl√ľsselt auf einem Server abgelegt, die Entschl√ľsselung passiert lokal am Client.

Wer seine Passw√∂rter m√∂glichst einfach, sicher und auf allen Ger√§ten verf√ľgbar haben will, ist bei LastPass an der richtigen Adresse, allerdings ist f√ľr mobile Ger√§te das kostenpflichtige LastPass Premium erforderlich. Premium wird f√ľr die LastPass-App f√ľr mobile Ger√§te bzw. erweiterte Funktionen ben√∂tigt.

Aber auch ohne Premium bietet LastPass sehr viel, speziell am PC gibt es f√ľr den normalen Benutzer keine Einschr√§nkung.

(Browserintegration von LastPass in Google Chrome)

Vorteil: 

  • einfaches Einrichten und Verbinden zum vorhandenen Clouddienst
  • gute Integration f√ľr g√§ngige Betriebssysteme und Browser
  • Zugriff auf die Passw√∂rter √ľber den Browser ohne Client-Programm

Nachteil:

  • Abh√§ngigkeit von einem Cloud-Anbieter¬†
  • kostenpflichtige Premium-Version f√ľr die Verwendung auf mobilen Ger√§ten notwendig.¬†

KeePass

KeePass verfolgt einen anderen Ansatz und speichert die Passwörter in einer Datei und kann somit komplett ohne Internet oder der Notwendigkeit eines Cloud- oder Serverdienstes verwendet werden. Auch wenn KeePass ursprünglich als klassisches Windows-Programm startete, gibt es inzwischen Apps für alle möglichen Plattformen und dank der integrierten Synchronisationsfunktionen kann die Passwortdatei mit anderen Versionen abgeglichen werden. Für das eigentliche Synchronisieren der Passwortdatei kann, neben Dropbox oder Google Drive, auch NextCloud, SFTP, WebDav, PCloud oder Syncthing verwendet werden.

aktuelle KeePass-Version, siehe auch: KeePass Version 2.57

Vorteil: 

  • Dezentrales Setup: Einfaches lokales Programm, ganz ohne Cloud oder Serverdienst
  • Universell und flexibel durch eine Vielzahl an Installationsmöglichkeiten, Optionen und Plugins
  • Für den Zugriff auf die Passwörter wird lediglich die Passwortdatei und das Masterpasswort benötigt.
  • Die Passwortdatei kann von einem beliebigen KeePass-Client geöffnet werden.
  • KeePass Clients gibt es für alle gängigen Betriebssysteme inkl. Browserintegration
  • Beim Synchronisieren zwischen mehreren Geräten besitzt jedes Gerät eine Kopie der Passwortdatei und hat somit keine Abhängigkeit zu einem anderen Dienst oder Service beim Zugriff auf die Daten. 

Nachteil:

  • Für den Abgleich zwischen mehreren Geräten wird ein zentraler Speicher eines Cloud-Anbieters oder ein gemeinsamer Ordner im Internet oder im lokalen Netzwerk benötigt.
  • Keine Möglichkeit einzelne Passwörter oder Ordner mit anderen zu teilen. Die Passwörter können mit anderen nur geteilt werden, indem die komplette Datei mit allen Einträgen und das Masterpasswort weitergegeben wird.
  • Der KeePass-2 Client hat ein kosmetisches Problem. KeePass-2 ist ein klassisches Windows-Programm, was im Vergleich zu den Cloud-Lösungen richtig alt aussieht.

Der nächste Artikel aus dieser Reihe beschreibt das Einrichten, die Browserintegration und das Synchronisieren einer zentralen KeePass-Datenbank über Dropbox oder Google Drive und deren gleichzeitiger Verwendung unter Windows, Android und Ubuntu. Details zum Setup und zur Bedienung von KeePass:

Preview KeePass synchronisieren mit der Cloud: Der ultimative Guide

KeePass synchronisieren mit der Cloud: Der ultimative Guide

geändert: 21.02.2022 von Bernhard (Erstveröffentlichung: 19.01.2015)

In dem Artikel „Wie verwaltest du deine Passwörter?“ habe ich einige Gedanken zum sicheren Umgang mit Passwörtern beschrieben. Ein möglicher Lösungsansatz, um den Umgang mit Passwörtern sicherer zu gestalten, ist das Verwenden eines Passwortmanagers wie KeePass. KeePass ist freie Software und kann daher völlig kostenlos auf allen möglichen Geräten verwendet werden.  ... weiterlesen

Preview Schutz vor KeeFarce: KeePass Sicherheit erhöhen /Leistung optimieren

Schutz vor KeeFarce: KeePass Sicherheit erhöhen /Leistung optimieren

geändert: 10.01.2016 von Bernhard (Erstveröffentlichung: 06.11.2015)

Laut den allgemeinen Meinungen im Internet, ist die Verschlüsselung des Passwortmanagers KeePass sicher. Unterstrichen wird dies durch den Open Source- Ansatz: Der Quellcode ist für jedermann ersichtlich und dementsprechend geprüft. Die Sicherheit hängt vielmehr von der Verwendung ab.  ... weiterlesen

Bitwarden-Vaultwarden

Bitwarden ist die Open Source Alternative zu LastPass. Bitwarden kann, im Gegensatz zu LastPass, selbst gehostet werden. Verglichen mit KeePass bietet Bitwarden die Möglichkeit Passwörter oder einzelne Ordner mit anderen zu teilen, was einen Server für den Betrieb voraussetzt. 

Vorteil:

  • Möglichkeit die Lösung selbst zu hosten oder als fertige Lösung vom Cloud-Anbieter zu verwenden
  • Zugriff auf die Passwörter über den Browser ohne Client-Programm und ohne der Notwendigkeit einer lokalen Datei
  • gute Integration für gängige Betriebssysteme und Browser

Nachteil:

  • Zwar wird die Passwortdatenbank auch offline heruntergeladen und die Passwörter sind dadurch offline verfügbar, wer sich aber vom Serverdienst abmeldet, kann ohne Internet und ohne Serverdienst nicht mehr auf die Daten zugreifen. Bei selbst gehosteten Systemen und ohne entsprechenden Vorkehrungen könnte das im Fehlerfall zu Problemen führen.
  • Wer Bitwarden selbst hosten will, benötigt dazu einen Server oder Rechner der den Serverdienst zur Verfügung stellt inklusive eines SSL-Setups mit entsprechenden Zertifikaten, was dank Docker heute relativ einfach umgesetzt werden kann.
Preview Bitwarden in Docker betreiben - Setup Schritt f√ľr Schritt

Bitwarden in Docker betreiben - Setup Schritt f√ľr Schritt

geändert: 29.12.2022 von Bernhard (Erstveröffentlichung: 28.02.2022)

Bitwarden ist ein webbasierter Passwort-Manager, √§hnlich LastPass, aber Open Source und der M√∂glichkeit diesen selbst zu betreiben (hosten). Wie sich Bitwarden im Vergleich zu anderen Passwort-Managern einordnet, habe ich auf folgender Seite √ľberlegt: Passwort-Manager sicher? KeePass vs. LastPass vs. Bitwarden. Bitwarden besteht aus mehreren Services, welche √ľber verschiedene Container bereitgestellt werden k√∂nnen. Das relativ aufw√§ndige Setup wurde mit "Bitwarden Unified" speziell f√ľr ein Selbs... ... weiterlesen

Fazit

Nachdem ich den Zugriff auf meine Passwörter nicht von einem Cloud-Anbieter abhängig machen will, fällt für mich LastPass als mögliche Variante weg. Wer seine Passwörter im Browser speichert, sollte darauf achten, dass die Kennwörter in der Cloud mit einer Passphrase verschlüsselt abgelegt werden. Bleibt noch Bitwarden und KeePass. Auch wenn Bitwarden sicherlich wesentlich moderner ist als KeePass, gibt es dennoch ein paar kleine Details die mir an KeePass besser gefallen, daran ändert auch die Tatsache nichts, dass ich einen Server für Bitwarden hätte und das Programm bereits fertig eingerichtet habe. Das Hauptargument für Bitwarden ist für mich das Teilen von Passwörtern mit anderen. Ich kann diesem Argument aber dennoch wenig abgewinnen, da ich der Meinung bin, dass Passwörter grundsätzlich etwas Persönliches sind. Wer den Bedarf hat ein Passwort mit jemand anderen zu teilen, sollte sich meiner Meinung nach Gedanken machen, ob es nicht besser wäre, eigene Benutzerkonten für die Person anzulegen. Sollte ein Passwort in Ausnahmefällen dennoch mit anderen geteilt werden müssen, könnte dieses immer noch über einen eigenen Eintrag in den persönlichen Passwörtern erfolgen: Jeder notiert sich das Passwort selbst: Ich sehe da keinen wirklichen Nachteil.

Begründet damit, dass der Bitwarden-Server im Internet verfügbar ist und zumindest die Anmeldeseite von jedermann aufgerufen werden kann, bin ich der Meinung, dass die Angriffsfläche auf den Passwortspeicher von KeePass, im Vergleich zu einem selbst gehosteten Bitwarden-Server, etwas geringer ist. Wie auch bei anderen Serverdiensten, sollte Bitwarden sicherlich regelmäßig aktualisiert und gebackupt werden: Was zusätzlichen Aufwand generiert. Aber nicht nur beim Betrieb, auch in puncto Redundanz sehe ich leichte Vorteile bei KeePass. Wer das KeePass-File zwischen verschiedenen Geräten synchronisiert, baut sich damit eine zusätzliche Redundanz auf. Zwar ersetzt das kein Backup, dennoch ist für den Zugriff auf die Daten nur ein funktionierendes Gerät notwendig: Kein Internet, keine laufenden Dienste auf irgendeinem Server; siehe auch: KeePass HowTo, Synchronisieren Dropbox und Google Drive; RDP.

positive Bewertung({{pro_count}})
Beitrag bewerten:
{{percentage}} % positiv
negative Bewertung({{con_count}})

DANKE f√ľr deine Bewertung!

Fragen / Kommentare


(sortiert nach Bewertung / Datum) [alle Kommentare(neueste zuerst)]

✍anonym
24.11.2023 09:17
Bei Bitwarden steht als Nachteil:
"Zwar wird die Passwortdatenbank auch offline heruntergeladen und die Passwörter sind dadurch offline verfügbar, wer sich aber vom Serverdienst abmeldet, kann ohne Internet und ohne Serverdienst nicht mehr auf die Daten zugreifen. Bei selbst gehosteten Systemen und ohne entsprechenden Vorkehrungen könnte das im Fehlerfall zu Problemen führe."

Das ist nicht mehr aktuell. Die Passwörter sind auch verfügbar wenn das Gerät offline ist.

✍anonym
07.01.2016 16:21
User: mowex 
Ich umgehe dies alles ganz einfach, ich habe eine Excel-Datei angelegt, in der ich alle Passw√∂rter speichere. Bei Bedarf kann ich die Daten aufrufen und mittels Copie-Befehl √ľbertragen. Wenn ich den Computer/Laptop nicht benutze oder in Urlaub fahre, schneide ich Excel komplett aus und ziehe die Daten auf einen Stick. Den verwahre ich allerdings gut!
✍anonym
gepostet am 24.03.2023 12:50
Genau, und niemand kann deine Zwischenablage auslesen ;)

Beitrag erstellt von anonym

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu Mehr Details